Letzte Änderung: 12.08.2022

Datenschutz - Nachrichten 21. Kalenderwoche 2022

.

Tätigkeitsbericht über Entwicklungen und Fragen des Datenschutzes
Die Datenschutz - Grundverordnung erfordert ein aufeinander abgestimmtes und einheitliches Vorgehen der Datenschutz – Aufsichtsbehörden. Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, welche an Parlament, Regierung, Behörden übermittelt und auch der Öffentlichkeit zugänglich gemacht wird.
Vor kurzem stellte Dagmar Hartge, die Brandenburgische Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, ihren Tätigkeitsbericht zur Akteneinsicht für die Jahre 2020 und 2021 vor. In den beiden Berichtsjahren gingen insgesamt 203 Beschwerden über von Behörden verweigerte oder nur unvollständig gewährte Akteneinsichten eingegangen. In sieben Fällen sprach die Behörde förmliche Beanstandungen aus, die allerdings rechtlich nicht bindend sind.
In dieser Woche legte auch die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert ihren Tätigkeitsbericht für das zurückliegende Jahr vor. In ihrem Berichtszeitraum für das Jahr 2021 sind 923 Meldungen von Datenschutzverletzungen eingegangen, das sind 45 % mehr als im Jahr zuvor. Insgesamt war die Anzahl der Beratungen erneut gestiegen und ein hohes Beschwerdeaufkommen mit Hinweisen zu Datenschutzverstößen eingegangen. Größtenteils beruht der Bericht noch auf die Tätigkeit ihres Amtsvorgängers Andreas Schurig, dessen Amtszeit nach 17 Jahren im Amt am 31.Dezember 2021 endete.
Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) stellte in dieser Woche ihren Jahresbericht für das Jahr 2021 vor. Die Amtszeit von Maja Smoltczyk als Berliner Beauftragte für Datenschutz und Informationsfreiheit endete am Ende Januar 2021. Sie übte ihre Amtszeit noch bis zum 27. Oktober 2021aus. Bis zur Neuwahl einer Nachfolge wird die Behörde kommissarisch durch ihren Stellvertreter Volker Brozio geleitet.
Im Vergleich zum Vorjahr meldete auch diese Behörde einen deutlichen Anstieg mit insgesamt 1.163 Fällen an gemeldeten Datenpannen und 5.671 Fälle von Beschwerden.
Die gestiegenen Anfrage- und Beschwerdezahlen bei den Behörden zeigen, dass das Interesse am Datenschutz seit Einführung der Verordnung auch im Bewusstsein vieler Bürger angekommen ist und sie ihr Grundrecht auf Datenschutz sehr bewusst einfordern, so die Landesbeauftragten.
Alle Tätigkeitsberichte der Datenschutzbehörden hält die Bundesstiftung - Stiftung Datenschutz auf der Informationsplattform ZAfTDa (Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten) im pdf-Format zum Download bereit.
-ck-

Schwerpunkte der Tätigkeiten: Technisch-organisatorischen Datenschutz
LDA Brandenburg online - "Landesbeauftragte veröffentlicht Tätigkeitsbericht Datenschutz 2021"
https://www.lda.brandenburg.de/lda/de/service/presseinformationen/details-presse/~09-05-2022-landesbeauftragte-veroeffentlicht-taetigkeitsbericht-datenschutz-2021

Tätigkeitsbericht für das zurückliegende Jahr vorgestellt
Medienservice Sachsen online – "Medieninformation Sächsische Datenschutzbeauftragte: Hoher Beratungsbedarf und Anstieg bei gemeldeten Datenpannen"
https://medienservice.sachsen.de/medien/news/1045539

Datenschutz- Beschwerden auf Rekordniveau
Rbb24 online – "200 Verwarnungen, 130.000 Euro Bußgeld Berliner Datenschutzbehörde registriert so viele Beschwerden wie nie zuvor"
https://www.rbb24.de/panorama/beitrag/2022/05/berlin-datenschutz-beschwerden-corona-teststellen-polizei-wahlen.html


Qualität vieler Cyber-Angriffe hat zugenommen
Gefährliche Ransomware-Angriffe gehören zurzeit zu den beliebtesten Methoden der Cyberkriminellen. Mithilfe von verschlüsselten E-Mail-Anhängen dringt Malware in die Unternehmens-Systeme ein. Ob Spam-Mails, Phishing, Viren oder Spionageprogramme – erfolgreiche Cyberattacken verursachen Schäden in Millionen Höhe sobald ein Schadprogramm ins IT-System eines Unternehmens gelangt.
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei einem erfolgreichen Hackerangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust.
Um das Bewusstsein für Cyberrisiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen. Denn nur wer in der Lage ist die Angriffsmethoden zu identifizieren, kann diese verhindern.
-ck-

Mittlerweile fordern Hacker fünf Millionen Dollar von Land Kärnten
Heise online – "Hackerangriff: Landesverwaltung von Kärnten wurde komplett lahmgelegt"
https://www.heise.de/news/Hackerangriff-Landesverwaltung-von-Kaernten-wurde-komplett-lahmgelegt-7121628.html

Virus wurde von den verwendeten Firewalls nicht erkannt
Kurier at – "Hackerangriff auf Land Kärnten: "Virus war individuell""
https://kurier.at/chronik/oesterreich/hackerangriff-auf-land-kaernten-virus-war-individuell/402021465

Cyber-Bewusstsein der Mitarbeiter stärken
It-Daily net – "Mitarbeiter als erste Verteidigungslinie gegen steigende Phishing-Angriffe"
https://www.it-daily.net/it-sicherheit/cloud-security/mitarbeiter-als-erste-verteidigungslinie-gegen-steigende-phishing-angriffe

Die häufigsten Ransomware-Vorfälle
Wallstreet online – " Geleakte Daten nach Ransomware-Attacke / Betroffen 986 europäische Unternehmen, wovon 143 aus Deutschland"
https://www.wallstreet-online.de/nachricht/15504264-geleakte-daten-ransomware-attacke-betroffen-986-europaeische-unternehmen-wovon-143-deutschland

Ransomware : Informationen und Handlungsempfehlungen
BSI Bund online – "Ransomware – Vorsicht vor Erpressersoftware"
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Schadprogramme/Ransomware/ransomware_node.html;jsessionid=7BF548A95D2CF5E7202874C31DD77BEF.internet471

Datenschutzverletzung: Sanktionen und Datenpannen aus dieser Woche
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei Datenschutzpannen oder einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust.
Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-

DSGVO-Sanktion: Nutzerdaten für personalisierte Werbung verwendet
LKZ online – "Kurznachrichtendienst: Datenschutz-Vorwürfe: Twitter muss Millionen-Strafe zahlen"
https://www.lkz.de/lokales_artikel,-datenschutz-vorwuerfe-twitter-muss-millionen-strafe-zahlen-_arid,687003.html

Brief-Irrläufer anhand automatischer Tackerung oder Kuvertierung
Stuttgarter Nachrichten online – "Stadt Stuttgart Datenpanne bei Mahnschreiben"
https://www.stuttgarter-nachrichten.de/inhalt.stadt-stuttgart-datenpanne-bei-mahnschreiben.b60ca3e2-7ba2-444f-9bd8-26e4bcd2aaf4.html

Online-Portal-Nutzer der Bundesagentur für Arbeit konnten hochsensible Daten von anderen Arbeitssuchenden einsehen
Regensburg Digital online - "Fremde Daten einsehbar - "Datenpanne": Arbeitsagentur weiß nicht, wer betroffen ist"
https://www.regensburg-digital.de/datenpanne-arbeitsagentur-weiss-nicht-wer-betroffen-ist/20052022/

Unternehmen nutze Daten der Impflinge für Werbezwecke
Radio Essen online – "Urteil nach Datenpanne in Essener Impfzentrum"
https://www.radioessen.de/artikel/nach-datenpanne-in-essener-impfzentrum-anwalt-klagt-1318361.html


Unterschätztes Sicherheitsrisiko - Schatten - IT im Unternehmen
Oft sind Mitarbeiter von der offiziellen IT in ihrer Firma frustriert und suchen auf eigene Faust nach alternativen IT-Lösungen wie zum Beispiel inoffizielle Cloud-Apps, Soziale Netzwerke oder Webmail-Services. Sie nutzen diese zum Austausch arbeitsrelevanter Themen, um ihre Aufgaben schneller, einfacher und effektiver erledigen zu können, doch ohne Wissen und Genehmigung der IT-Abteilung des Unternehmens. Private Hardware ob Smartphones oder Tablet-PCs (Bring Your Own Device, BYOD) werden unerlaubt in das Unternehmensnetzwerk eingebunden, technik-affine Kollegen unterstützen sich untereinander bei Hard- und Softwareproblemen., doch die unternehmenseigene IT-Abteilung wird nicht informiert.
Ohne die Einbindung der IT-Abteilung des Unternehmens stellen diese Eigeninitiativen der einzelnen Mitarbeiter die Sicherheit der Unternehmerdaten aufs Spiel. Diese oft über Jahre gewachsene Schatten-IT stellt für jedes Unternehmen ein hohes Sicherheitsrisiko da – streng vertrauliche Unternehmensdaten, personenbezogene Daten könnten in unsichere Hände gelangen und missbraucht werden. Ein durch die Schatten – IT entstandener Datenverlust birgt für die betroffenen Unternehmen harte Konsequenzen.
Unternehmen können nur dann die Datensicherheit gewährleisten, wenn durch regelmäßige Datenschutz - Schulungen die Mitarbeiter und die Geschäftsleitung für den verantwortungsbewussten Umgang mit schützenswerten Daten sensibilisiert und auf eventuelle Gefahrenquellen hingewiesen werden.
-ck-

Datenschutz-Schulung: Bewusstsein für die Bedrohung schaffen
Security Insider online "Die Crux der Passwortsicherheit Schatten-IT schafft Risse in der Unternehmensrüstung"
https://www.security-insider.de/schatten-it-schafft-risse-in-der-unternehmensruestung-a-cd3ce0ca7c4f0cd3893bf760b0f0ba7c/?cmp=nl-36&uuid=978d7b7b6e06f9d0c6dc03e0d60f20b8

Mitarbeiter umgehen Sicherheitsmechanismen
Midrange online – "Datenpannen vorbeugen: Herausforderungen einer datenzentrierten IT-Security-Strategie"
https://midrange.de/herausforderungen-einer-datenzentrierten-it-security-strategie/


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Probleme mit Zahlungsterminals anhand Zertifikatsfehler bei bestimmten Versionen
Heise online – "Störungen bei Kartenzahlung: Zertifikatsfehler erfordert manuellen Eingriff "
https://www.heise.de/news/Stoerungen-bei-Kartenzahlung-Zertifikatsfehler-erfordert-manuellen-Eingriff-7123668.html

2. Zuverlässige Basis-Absicherung der Internet-Router
WinFuture online – "Siegel drauf: BSI vergibt IT-Sicherheitskennzeichen für Internet-Router"
https://winfuture.de/news,129826.html

 


Datenschutz - Nachrichten 20. Kalenderwoche 2022

.

Neue Berechnungsmethodik zur einheitlicher Bußgeldbemessung bei DSGVO-Verstößen
Die Bemessung von Geldbußen bei Datenschutzverstößen fallen europaweit häufig sehr unterschiedlich aus. Um zu einer gleichmäßigen Anwendung der Sanktionsmöglichkeiten, Berechnung der Bußgelder in den EU-Staaten zu kommen, hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zur Ermittlung von Bußgeldern nach der Datenschutz-Grundverordnung entwickelt.
Die neuen Leitlinien unterliegen noch in den kommenden sechs Wochen (bis zum 27. Juni 2022) einem öffentlichen Konsultationsverfahren.
-ck-

Konsultation zu den Leitlinien: Bußgeld - Ermittlung nach der DS-GVO
European Data Protection Boad eu - "Guidelines 04/2022 on the calculation of administrative fines under the GDPR"
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-042022-calculation-administrative_en

"Leitlinien 04/2022 zur Berechnung von Bußgeldern unter der DSGVO" (pdf)
European Data Protection Boad eu – "Guidelines 04/2022 on the calculation of administrative fines under the GDPR"
https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf

Rechtzeitige Prävention
Die Zahl der Ransomware–Infektionen steigt rasant - Behörden, Krankenhäuser, Unternehmen sind geneigt auf die Forderungen der Kriminellen einzugehen, Sicherheitsexperten raten davon ab. Doch der Veeam-Report "2022 Ransomware Trends Report" zeigt, das betroffene Unternehmen doppelt so viel Lösegeld gezahlt haben, wie im Jahr zuvor. Mittlerweile scheinen zwei Drittel der deutschen Unternehmen von Ransomware betroffen, so die Studie.
Bisher ist ein strafrechtlich wirksamer Schutz der IT-Systeme wie zum Beispiel: Vor Botnetz-Kriminalität, Angriffen auf Internetseiten oder gezielte Cyberangriffe auf Kritische Infrastrukturen, nicht gegeben.
Der Deutsche Bundesrat brachte dazu schon zum dritten Mal, einen Gesetzesentwurf in den Deutschen Bundestag ein. Das bestehende IT-Strafrecht soll mit drastisch höheren strafrechtlichen Konsequenzen um einen "Digitalen Hausfriedensbruch" verschärft werden.
Nun bleibt es abzuwarten, ob der Bundestag sich für die Ausweitung des bestehenden IT-Strafrechts entscheidet, oder gegebenenfalls einen eigenen Gesetzentwurf zum besseren Schutz der IT-Systeme vorlegt.
-ck-

Gesetzentwurf: Wird ein neuer Paragraf 202e ins Strafgesetzbuch (StGB) eingeführt?
Bundestag online – "Entwurf eines ... Strafrechtsänderungsgesetzes – Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme – Digitaler Hausfriedensbruch"
https://dserver.bundestag.de/btd/20/015/2001530.pdf

Grundrecht auf Vertraulichkeit und Integrität: Lückenloser strafrechtlicher Schutz vorgeschlagen
Haufe online – "Umfassende Strafbarkeit für digitalen Hausfriedensbruch"
https://www.haufe.de/compliance/recht-politik/digitaler-hausfriedensbruch_230132_566578.html

Cyberattacken auf die Stromversorgung
Security Insider online – "Neue Energieformen – neue Verwundbarkeiten Cyberangriffe auf erneuerbare Energien"
https://www.security-insider.de/cyberangriffe-auf-erneuerbare-energien-a-1116997/

Personenbezogene Bürger-Daten immer noch im Darknet einsehbar
Golem online – "Ransomware: Stadt informiert Bürger über Daten im Darknet"
https://www.golem.de/news/ransomware-stadt-informiert-buerger-ueber-daten-im-darknet-2205-165414.html

Lockbit 2.0: Dokumente mit vollständigen Patientendaten veröffentlicht
FM1 Today ch – "Hackerangriff auf Arztpraxis – hunderte Patientendaten im Darknet"
https://www.fm1today.ch/ostschweiz/appenzellerland/hackerangriff-auf-arztpraxis-hunderte-patientendaten-im-darknet-146489184

Lösegeldzahlung ist keine Daten-Wiederherstellungsgarantie
Computerwelt at – "Cybersecurity-Studie: 76% der Unternehmen geben zu Ransomware gezahlt zu haben"
https://computerwelt.at/news/cybersecurity-studie-76-der-unternehmen-geben-zu-ransomware-gezahlt-zu-haben/


Wirtschaftskriminalität und Spionage
Unternehmer sehen IT-Risiken oft an der falschen Stelle und verbinden mit Datensicherheit nur Viren- und Hacker-Angriffe. Oftmals sind Geschäftsinformationen in IT-Systemen unzureichend durch Zugriffs- und Berechtigungsmanagement geschützt und die Gefahr von Datenklau zum Beispiel per E-Mail, USB-Stick oder Handy wird selten ernst genommen, was ein erhebliches Sicherheitsrisiko darstellt.
Der Diebstahl von unternehmerischem Know-how, Verletzung von Betriebsgeheimnissen und die absichtliche Löschung oder Manipulation der Unternehmensdaten, ist auch bei Tätern im eigenen Unternehmen zu finden.
-ck-

Löschaktion: IT-Admin zu 7 Jahre Haft verurteilt
t3n online - "7 Jahre Haft: IT-Admin löschte Daten seines Arbeitgebers – aus Rache"
https://t3n.de/news/7-jahre-haft-it-admin-loeschte-1472999/

Geld – und Freiheitsstrafe: Ehemaliger Bank-Mitarbeiter verkaufte scheinbar Kundendaten
Finanzen ch – "Bundesgericht weist Beschwerde wegen Urteil zu UBS-Datenklau ab"
https://www.finanzen.ch/nachrichten/aktien/bundesgericht-weist-beschwerde-wegen-urteil-zu-ubs-datenklau-ab-1031454483

Diebstahl von Geschäftsgeheimnissen: Unternehmen reicht Klage gegen Mitarbeiter ein
Inside Tesla online – "Tesla verklagt Ex-Mitarbeiter: Diebstahl von Geschäftsgeheimnissen über Supercomputer"
https://insidetesla.de/tesla-verklagt-mitarbeiter-diebstahl-supercomputer/


Kritische Sicherheitslücke im Unternehmen: Betriebssystem ohne Aktualisierung
Seit dem 10. Mai 2022 ist für das Computerbetriebssystems Windows 10, die Version 20H2 aus dem Update-Zyklus gefallen. Ab diesem Zeitpunkt erschienen keine Sicherheits-Updates mehr - eine weitere Nutzung des Betriebssystems birgt daher hohe Risiken für die IT-Sicherheit.
Wer dennoch veraltete Betriebssysteme weiterhin nutzt, gefährdet nicht nur sein eigenes Unternehmen, sondern auch die ihm anvertrauten sensiblen Daten.
-ck-

Windows 10-Version ohne Support
Heise online - "Keine Updates mehr für Windows Server und Windows 10 20H2"
https://www.heise.de/news/Support-Ende-fuer-Windows-Server-und-Windows-10-20H2-7097917.html

Keine monatlichen Sicherheits- und Qualitätsupdates mehr für Windows 10 20H2
Futurezone online – "Windows 10-Funktion plötzlich gestrichen: Microsoft zieht Millionen Nutzern den Stecker – ganz unbemerkt"
https://www.futurezone.de/digital-life/article313279/windows-10-20h2-supportende-keine-updates.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Keylogger mit der Bildschirmtastatur umgehen
Chip online – "Unbedingt vermeiden: Tausende Websites lesen Ihre Daten beim Eintippen mit"
https://www.chip.de/news/Unbedingt-vermeiden-Tausende-Websites-lesen-Ihre-Daten-beim-Eintippen-mit_184259880.html

2. Verlust der Daten von iPhone, iPad und Co. möglich
Futurezone online - "iCloud-Änderung: Sichere jetzt deine Daten bei iPhone und Co."
https://www.futurezone.de/digital-life/article313331/icloud-ein-speicher-wird-abgeschafft-eins-ist-zu-tun-sonst-datenverlust.html

 


Datenschutz - Nachrichten 19. Kalenderwoche 2022

.

Risiko Cyberware
Ransomware-Angriffe, bei denen Daten verschlüsselt und hohe Lösegeldforderungen gestellt werden haben drastisch zugenommen, wie zum Beispiel ein Cyberangriff in Costa-Rica zeigt.
Laut Medienberichten wurden anhand Ransomware bedeutende Teile von Behörden und Regierungsstellen lahmgelegt und die Erpressergruppe hat die kopierten Daten größtenteils veröffentlicht. Damit die andauernden Angriffe besser abgewehrt werden können, hat der neu gewählte Präsident Costa Ricas per Dekret den nationalen Cyber-Notstand ausgerufen.
Wie die Medien berichten, steht die Traktorenproduktion Fendt im Allgäu nach einem Cyberangriff still. Auch hier hat Ransomware die weltweite Produktion lahmgelegt, die zentrale IT-Systeme sind ausgefallen. Wann die Produktion wieder anlaufen kann, steht noch nicht fest.
Oft benötigen Firmen nach einem heftigen Angriff wesentlich länger als einen ganzen Arbeitstag um die IT-Systeme wiederherzustellen. Zudem können deftige Umsatzeinbußen, sowie der Verlust des Kundenvertrauens Unternehmen in eine Krise stürzen.
Um ein entsprechendes Sicherheits-Bewusstsein zu wecken, sollten alle Mitarbeiter und das Management im Rahmen eines Security-Awareness-Trainings rund um die IT-Sicherheit im Unternehmen geschult und für den Umgang mit personenbezogenen Daten sensibilisiert werden. Gleichfalls sind die technisch-Organisatorischen Maßnahmen wie zum Beispiel Firewalls, durchgängige Multifaktor-Authentifizierungen, engmaschige Berechtigungskonzepte und Anti-Malware-Lösungen usw. wichtig. Zudem ist eine unternehmensweite Datensicherungsstrategie, beziehungsweise Datenbackups für alle Unternehmen ein Muss.
-ck-

Regierung ruft Notstand aus: 672 GByte von verschiedenen Regierungsstellen veröffentlicht
Heise online – "Ransomware-Befall: Notstand in Costa Rica – Erpressergruppe veröffentlicht Daten"
https://www.heise.de/news/Ransomware-Befall-Notstand-in-Costa-Rica-Erpressergruppe-veroeffentlicht-Daten-7079285.html

Mehrere Produktionsstandorte von Erpressungssoftware betroffen
T-Online online – "Traditionsmarke: Traktorenproduktion bei Fendt steht nach Hackerangriff still"
https://www.t-online.de/digital/internet-sicherheit/sicherheit/id_100008954/traditionsmarke-fendt-produktion-von-landmaschinen-steht-nach-hackerangriff-still.html

Cyberangriff auf deutsche Websites staatlicher Stellen
Security-Insider online – "Bundesregierung bestätigt DDoS-Attacken auf staatliche Server Hacker attackieren Webseiten deutscher Behörden"
https://www.security-insider.de/hacker-attackieren-webseiten-deutscher-behoerden-a-1116300/?lt=fmNvbXBvc2l0aW9ufi90aGVtZW5iZXJlaWNoZS9zaWNoZXJoZWl0cy1tYW5hZ2VtZW50L35zZWxm


Datenschutz Medienpreis (DAME)
Der Datenschutz Medienpreis für Medienprodukte 2021 wurde in dieser Woche zum fünften Mal verliehen. Die mit 3.000 Euro dotierte Auszeichnung des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD e.V.), wurde für den besten Beitrag zum Thema Datenschutz an die Künstlergruppe Laokoon für ihr crossmediales Datenexperiment "Made to Measure – Eine digitale Spurensuche" vergeben. Das Datenexperiment zeigte, wie sich anhand von Google-Daten ein ganzes Leben rekonstruieren lässt und den Missbrauch persönlicher Daten erleichtert, indem ein Doppelgänger einer Person anhand ihrer persönlichen Online-Daten erschaffen werden kann. Das Experiment zeigt die Risiken auf, welche durch die Preisgabe personenbezogener Daten im Internet entstehen und wie wertvoll die eigenen Daten sind.
Neben dem Video-Beitrag von Lokoon wurden drei weitere Sonderpreise verliehen:
Den Sonderpreis für den besten Beitrag in der Kategorie Audio, erhielt Tobias Dir mit seinem Radio-Feature "Drei Jahre DSGVO – Was hat die EU-Verordnung zum Datenschutz gebracht?"
Mit der Print-Reportage „Mein Gesichtsverlust“ gewinnt in der Kategorie "Print" Patrick Beuth einen Sonderpreis. der von der Stiftung Datenschutz und dem Deutschen Spendenrat gestiftet wurde. Sein Artikel beschreibt den Handel mit biometrischen Daten.
Einen weiteren Sonderpreis erhielten Carsten Damm und Hans Höpfner vom Kinder- und Jugendpfarramt der Evangelischen Landeskirche Anhalts, für den 15-minütigen Kurzfilm "schreibt…" Dieser beschreibt die Grenzüberschreitung der Verletzung persönlicher Daten (You Tube-Link)
-ck-

Bester Beitrag zum Thema Datenschutz 
BvDnet online – "Datenschutz Medienpreis (DAME): Laokoon-Gruppe mit dem Datenschutz Medienpreis DAME 2021 ausgezeichnet"
https://www.bvdnet.de/presse/laokoon-gruppe-mit-dem-datenschutz-medienpreis-dame-2021-ausgezeichnet/

Datenschutz Medienpreis (DAME) 2021
Presse Box online – "Datenschutz Medienpreis DAME 2021: Jury gibt Nominierungen bekannt"
https://www.pressebox.de/pressemitteilung/berufsverband-der-datenschutzbeauftragten-deutschlands-bvd-ev/Datenschutz-Medienpreis-DAME-2021-Jury-gibt-Nominierungen-bekannt/boxid/1103085


CEO Fraud: Wenn die eigenen Mitarbeiter zur Gefahr werden
Cyber-Kriminelle setzen verstärkt auf Social Engineering: Sie probieren sich Zugang zu hochsensiblen Informationen zu verschaffen, indem sie Mitarbeiter geschickt manipulieren. Sie geben sich zum Beispiel als vermeintliche weisungsbefugte Vorgesetzte aus, setzen verstärkt auf CEO Fraud (Geschäftsführer Betrug) oder per oder Business Email Compromise (BEC), um an Unternehmens-Informationen oder an das Geld der Firmen zu gelangen. Social Engineering ist seit einigen Jahren eine anhaltende Bedrohung für viele Unternehmen, nicht zuletzt, weil menschliches Fehlverhalten das größte Sicherheitsrisiko für Unternehmen ist.
Eine technische Möglichkeit sich vor solchen Methoden zu schützen, gibt es nicht. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind, wissen - welche immer ausgefeilten Methoden und Tricks zurzeit angewandt werden und somit achtsam mitwirken können.
-ck-

Business Email Compromise
Falsche Mails per Wegwerf-Mailadresse verschickt
Come-one online – "POL-MK: CEO-Fraud: Falscher Chef schickt Mails"
https://www.come-on.de/polizei-meldungen/pol-mk-ceo-fraud-falscher-chef-schickt-mails-zr-91535255.html

Fake Präsident Fraud: 54 Mio. Euro überwiesen
Industriemagazin at – "FACC einigt sich auf Vergleich mit Ex-CEO Walter Stephan"
https://industriemagazin.at/news/facc-einigt-sich-auf-vergleich-mit-ex-ceo-walter-stephan/

CEO-Fraud hat im vergangenen Jahr mehr Schäden angerichtet als jede andere Form von Cyberkriminalität
Com-Magazin online – "Mit CEO-Fraud wird am meisten ergaunert"
https://m.com-magazin.de/artikel/ceo-fraud-am-ergaunert-2765063.html


Medienberichte über Datenschutzpannen in dieser Woche
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei Datenschutzpannen oder einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-

Mail mit Anhang versehentlich versandt
Netzpolitik org – "Berlins Gesundheitsämter haben über 4.000 E-Mail-Adressen regelwidrig veröffentlicht"
https://netzpolitik.org/2022/corona-kommunikation-berlins-gesundheitsaemter-haben-ueber-4-000-e-mail-adressen-regelwidrig-veroeffentlicht/

Fremde Unterlagen in E-Safe entdeckt
Inside Paradeplatz ch – "Peinliches Daten-Leck in UBS-E-Tresor"
https://insideparadeplatz.ch/2022/05/02/peinliches-daten-leck-in-ubs-e-tresor/


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Windows 10 Update verursacht Komplikationen
Heise online – "Windows-Updates verursachen Start- und Authentifizierungsprobleme"
https://www.heise.de/news/Windows-Updates-verursachen-Start-und-Authentifizierungsprobleme-7090193.html

2. Millionen Nutzer waren gefährdet
Heise online – "Sicherheitslücke in Anti-Rootkit-Treiber von Avast und AVG"
https://www.heise.de/news/Sicherheitsluecke-in-Anti-Rootkit-Treiber-von-Avast-und-AVG-7080694.html

3. IT-Sicherheitskennzeichen
T-Online online – "IT-Sicherheitskennzeichen hilft beim Kauf smarter Geräte"
https://www.t-online.de/digital/id_92141326/orientierung-fuer-verbraucher-it-sicherheitskennzeichen-hilft-beim-kauf-smarter-geraete.html

 


Datenschutz - Nachrichten 18. Kalenderwoche 2022

.

Web Fonts datenschutzkonform einsetzen
Werden aufgrund externer Einbindungen von Web Fonts in eine Internetseite Nutzerdaten, wie zum Beispiel die dynamische IP-Adresse (personenbezogene Daten im Sinne der DSGVO) erfasst und an Drittanbieter übermittelt, ist dies grundsätzlich nur mit einer wirksamen Einwilligung der Webseitenbesucher möglich.
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat auf seiner Webseite dazu eine "Kurz-Information zu externen Schriftarten auf Webseiten bayerischer öffentlicher Stellen" veröffentlicht.
-ck-

Einbindung von Web Fonts
Datenschutz Bayern online - "Aktuelle Kurz-Information 42: Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen"
https://www.datenschutz-bayern.de/datenschutzreform2018/aki42.html

Dynamische Einbindung von Google Fonts ohne Einwilligung
RA Putte online - "LG München: Einbindung von Google Fonts ohne Einwilligung"
https://www.ra-plutte.de/lg-muenchen-dynamische-einbindung-google-web-fonts-ist-dsgvo/

Weitergabe von IP-Adressen an Google
Bayerische Staatskanzlei online – "Verletzung des Persönlichkeitsrechts durch Datenschutzverstoß"
https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2022-N-612?hl=true

Schadensersatzanspruch ist gerechtfertigt
Rewis io - "Redaktioneller Leitsatz"
https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/


Datenschutz – Negativpreis
Der deutschen Big Brother Awards auch die „Oscars für Datenkraken“ (Le Monde) genannt, wird jährlich in mehreren Ländern an die Datensünder der Regierungen, Behörden, Unternehmen, Organisationen und Personen des vergangenen Jahres vergeben. Die Vergabe der deutschen BigBrotherAwards organisiert Digitalcourage e.V seit dem Jahr 2000.
Dieser Negativ-Preis wird für die größten Datenschutzverstöße, zum Beispiel bei Überwachungstechnologien und -Gesetze, Verkauf persönlicher Daten oder ausufernder Datensammlung, verliehen.
Am 29. April 2022 fand die Verleihung der 22. deutschen Big Brother Awards in Bielefeld statt. Preisträger waren in der Kategorie Behörden und Verwaltung, Arbeitswelt, Technik, Lebenswerk und Verbraucherschutz zu finden.
-ck-

Verleihung der "Oscars für die Datenkraken"
BR 24 online – "Irische Datenschutz-Behörde erhält Negativpreis für "Lebenswerk""
https://www.br.de/nachrichten/netzwelt/irische-datenschutz-behoerde-erhaelt-negativpreis-fuer-lebenswerk,T4OsK7b

Kategorie Arbeitswelt - Totalkontrolle der Beschäftigten
t3n online – ""Big Brother Awards“: Negativpreis für Lieferando und Klarna"
https://t3n.de/news/big-brother-awards-lieferando-klarna-datenschutz-1469385/

Negativpreis für Nutzung und Speicherung personenbezogener Daten
Heise online – "Big Brother Awards 2022: BKA, Bundesdruckerei, Blockchain"
https://www.heise.de/news/Big-Brother-Awards-2022-BKA-Bundesdruckerei-Blockchain-7070223.html


Identitätsdiebstahl: Missbrauch personenbezogener Daten
Dritte eignen sich persönliche Daten anderer Personen in der Regel zu dem Zweck an, diese zu ihrem Vorteil – und damit meist zum Nachteil des Betroffenen – zu verwenden. Verwendet ein Täter widerrechtlich diese Daten, kann er sich mit dem Datensatz im Rechtsverkehr identifizieren, um zum Beispiel ein Konto zu eröffnen oder Bestellungen aufzugeben - nimmt somit die Identität des Betroffenen an. Für Opfer und betroffene Unternehmen ist ein Identitätsdiebstahl nicht nur Zeit- und Kostenaufwendig, sondern auch Rufschädigend. Behörden, Unternehmen und weitere Organisationen, die ihren Kunden Online-Dienste zur Verfügung stellen, sollten die Identität ihrer Kunden schützen um auch das Grundvertrauen der Kunden zu erhöhen. Doch noch besteht dringender Handlungsbedarf für die Einführung geeigneter Schutzmaßnahmen. Hier ist auch der Gesetzgeber gefragt, um diese Lücke zu schließen.
-ck-

Unternehmen sollten auf zusätzliche Authentifizierung des Benutzers setzen
Silicon online – "Account Takeover: Identitätsdiebstahl mit schwerwiegenden Folgen"
https://www.silicon.de/41696348/account-takeover-identitaetsdiebstahl-mit-schwerwiegenden-folgen

Größte Risiko für Cyberkriminalität geht von den Mitarbeitern aus
e-Commerce Magazin online - "Identitätsdiebstahl: Wie moderne Technologie Online-Betrug verhindern kann"
https://www.e-commerce-magazin.de/identitaetsdiebstahl-wie-moderne-technologie-online-betrug-verhindern-kann/

Cybercrime-Meldungen: Datendiebstahl -missbrauch, Identitätsdiebstahl
IT-Markt online – "Geschäftsmail-Betrug: Das können Unternehmen gegen CEO Fraud tun"
https://www.it-markt.ch/cybersecurity/2022-04-29/das-koennen-unternehmen-gegen-ceo-fraud-tun

Informationen zu Identitätsdiebstahl
Bundeskriminalamt online - "Identitätsdiebstahl/Phishing"
https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/Identitaetsdiebstahl/identitaetsdiebstahl_node.html

Steigende Bedrohung: Cyberattacken
Gefährliche Ransomware-Angriffe gehören zu den beliebtesten Methoden der Cyberkriminellen. Ob Spam-Mails, Phishing, Viren oder Spionageprogramme – erfolgreiche Cyberattacken verursachen Schäden in Millionen Höhe sobald ein Schadprogramm ins IT-System eines Unternehmens gelangt.
In dieser Woche berichteten die Medien über einen erfolgreichen Cyberangriff bei dem Autovermieter Sixt. Scheinbar sei der Angriff auf die IT-Systeme früh entdeckt worden, sodass der Geschäftsbetrieb nur temporär beeinträchtig sei. Inwieweit Kundendaten von dem Vorfall betroffen sind, scheint derzeitig noch nicht geklärt.
Des Weiteren berichteten die Medien über einen Hackerangriff auf das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS) in Halle. Bei diesem Angriff wurden offenbar auch Daten gestohlen und eine Lösegeldforderung gestellt, auf diese die Fraunhofer-Gesellschaft nicht eingehen wird. Zwecks Schadensbegrenzung wurden alle Systeme vorsorglich vom Netz genommen und heruntergefahren. Angebliche Daten der Fraunhofer-Gesellschaft wurden inzwischen auf einer Handelsplattform im Darknet zum Kauf angeboten.
Sicherheitsrisiko Mensch: Die Sicherheit sensibler Unternehmensdaten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern Mitarbeiter und das Management auf Gefahrenquellen hingewiesen und für den Umgang mit personenbezogenen Daten durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert werden.
-ck-

IT-Probleme nach Cyberangriff
Spiegel online – "Hackerangriff auf Sixt – Beeinträchtigung für Kunden"
https://www.spiegel.de/netzwelt/web/sixt-hackerangriff-beeintraechtigt-kunden-a-71f6bd11-1747-4052-9e80-a632976a6f02

Hunderte Gigabyte Daten gestohlen
Heise online – "Nach Cyberangriff auf Fraunhofer-Institut in Halle Daten im Darknet angeboten"
https://www.heise.de/news/Nach-Hackerangriff-auf-Fraunhofer-Institut-in-Halle-Daten-im-Darknet-angeboten-7075239.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Gefälschte Windows 10 Updates
Chip online – "Windows-Nutzer müssen aufpassen: Gefährliche Schadsoftware tarnt sich als Update" 
https://www.chip.de/news/Windows-Nutzer-aufgepasst-Vermeintliches-Update-ist-in-Wahrheit-gefaehrliche-Schadsoftware_184236621.html

2. Hersteller hat Sicherheitspatches veröffentlicht
Heise online – "Alert! - Angreifer könnten die volle Kontrolle über F5 BIG-IP-Systeme erlangen"
https://www.heise.de/news/Angreifer-koennten-die-volle-Kontrolle-ueber-F5-BIG-IP-Systeme-erlangen-7075530.html

3. Office-Dokumente mit präparierten ActiveX-Steuerelementen
T-Online online – "Schädliche Office-Dokumente: Microsoft warnt vor Attacken auf Windows"
https://www.t-online.de/digital/computer/software/windows/id_100002098/microsoft-warnt-vor-attacken-auf-windows.html